前言
本文根据作者英文论文,“Invisible Finger: Practical Electromagnetic Interference Attack on Touchscreen-based Electronic Devices”,整理撰写。该论文发表于IEEE Symposium on Security and Privacy 2022 并获得杰出论文奖。
01 介绍
带有触摸屏的消费电子设备,例如智能手机、平板电脑和 笔记本电脑,已经成为我们日常生活中不可或缺的一部分。 在实践中,触摸屏通过感应下方电极的电场来识别触摸事件,从而允许人们执行触摸、滑动和其他手势。触摸屏将人为命令转换为电信号并帮助控制目标设备中的系统或应用程序。 此外,触摸屏常被用于车辆或医疗设备,触摸屏的正常操作与用户的安全息息相关。在所有触摸屏感应技术中,电容式 触摸屏是最受欢迎的,因为它提供了舒适的用户体验和较低的成本。一个典型的电容感应触摸屏如图1所示。触摸屏盖板下方的有电极阵列提供触摸感应功能,在电极之间有一层粘合层提供机械支撑和绝缘效果。后面板电极和液晶屏之间起到绝缘作用。电极、粘合剂和背板通常采用光学透明材料制成。触摸屏盖板通常由玻璃制成,用于保护电极和电路。当触摸屏工作时,驱动电路在两层电极之间传递电压。这两层电极之间的电场被不断检测。从而当人体与触摸屏接触时,电极层之间的电场由于阻抗而受到干扰。其中的干扰从而被感应到,进而产生触摸事件。
图1. 电容式触摸屏设备结构展示
在本文中,我们提出了一种利用IEMI(故意电磁干扰)的,无需任何物理接触的,主动触摸屏攻击方式。本攻击能够稳定地在触摸屏上产生复杂的触摸事件和全方位滑动手势。相较以往针对触摸屏的攻击方式,本文详细揭示了攻击原理,并且展示了如何推导出有效攻击所需要的IEMI信号参数,例如信号频率,幅度,甚至天线设计等。此外,本文同样展示在不同的设备上进行电磁攻击的可能性和成功率,并且分析其内在原因。
02 威胁模型
在本文中,我们假设攻击者使用可以生成 IEMI 信号的工具,通常包括天线、信号发生器和射频功率放大器。其中天线用于辐射 IEMI 信号,可隐藏在桌面下面。我们进一步假设被攻击者的设备配备了电容式触摸屏。我们不要求被攻击者拥有特定品牌的触摸屏设备,我们也不对设备的操作系统进行限制。我们的目标是模仿真实世界的环境,而被攻击者的手机放在了被提前放置好攻击设备的桌子之上。我们假设受害者将智能设备面朝下放在桌子上,此时攻击者不需要事先知道电话的具体位置或朝向。攻击者可以使用天线隔着桌子产生IEMI信号,并进一步操纵被攻击者的触摸屏设备执行一系列攻击,例如连接苹果耳机从而远程控制受害设备,或直接安装恶意应用程序。
03 基于IEMI的初步攻击
在前述章节,我们可以得知,如果触摸屏感应电路的输出变化Vt,大于感应电压变化阈值Vth,此时将有触摸事件产生。因此,如果我们可以使用IEMI信号来导致Vo超出阈值电压,那么我们就可以远程产生触摸事件,从而允许攻击者远程操控触摸屏设备。
如图2所示,外部施加的电场E将会对触摸屏产生影响,我们使用QT的等效简化电路图来解释这个影响。外部施加的电场会导致流过电极之间的偏置电流增加或减少互感电容之间的电容值。注意输出电压Vo的大小取决于电极之间的电容Cm的大小。因此,QT电路测量的电容值大小将会被该外置电场E间接控制,从而产生误触事件。
图2. 外部电场干扰图示,电极之间施加的外部电场(左),QT传感器的等效电路图(右)
04 理论验证
在这个部分, 我们将使用一个相对理想的设置来演示并验证我们的IEMI 攻击。我们将两块电极板放置于电脑的触摸屏两面并且同时施加IEMI信号。同时,我们采集电脑的触摸屏数据。通过这个配置,我们生成真实的实验结果来验证我们之前的分析,例如所需的电场场强以及电场的频率要求。
实验设置:作为概念验证,我们使用电极板放置在我们的目标电脑的相对两侧。 我们使用信号发生器 (RIGOL DS 1052E) 和 射频功率放大器(Amplifier Research 25A250A)用于产生所需的电压。 射频放大器的输出由示波器(RIGOL MSO4054)来实时显示。 我们使用 Chromebook 笔记本电脑的触摸屏作为攻击目标。 该测试电脑安装了由 Chromium 项目提供的 Touch Firmware Tests 测试软件来搜集所需要的实验数据。 这个程序将在运行时记录所有的触摸屏控制器识别的触摸位置。 我们将生成记录的测试数据由Wi-Fi实时传出并进行采集。 该程序同样还会生成一份测试报告,其中列出了所有在测试期间显示屏被触摸的位置。 在测试过程中, Chromebook 与适配器断开连接并放置在距地面 70 厘米的非导电表面上,以避免额外的 EMI 噪声。
一般而言,电容式触摸屏会采用低通滤波器进行滤波,从而会对100Khz到1Mhz之间的干扰噪声非常敏感。我们采用以10Khz为步进单位,从10Khz到10Mhz产生干扰信号对触摸屏设备进行扫描。在所有的频率选择上,我们都调节电脑触摸屏两端的电极上所施加的电压,直到屏幕上有触点产生。如果生成的电场场强超出3000V/m而此时依然没有任何触点产生,我们就认为该电场频率无法产生任何触摸事件。我们对每个频率进行超过5秒的测试,并且重启测试设备以便消除干扰。我们对每个频率进行重复三遍测试。所有我们搜集到的结果如下图所示,以此来展示为了成功产生IEMI干扰,我们需要哪些频率的干扰信号。如图所示,特定频率的干扰信号的表现远超其他频率。这个实验现象也和我们前述理论推导相符合。
图3.不同频率的干扰信号产生误触事件所需的最小场强
(本文只选取原文中部分章节,更多精彩内容敬请期待后续出版的《网络安全研究进展》)
原论文信息:Shan, Haoqi, Boyi Zhang, Zihao Zhan, Dean Sullivan, Shuo Wang, and Yier Jin. “Invisible Finger: Practical Electromagnetic Interference Attack on Touchscreen-based Electronic Devices.” In 2022 IEEE Symposium on Security and Privacy (SP), pp. 1548-1548. IEEE Computer Society, 2022.
作者简介
单好奇,CertiK 高级系统安全研究员,毕业于佛罗里达大学,主要研究方向为以Program Analysis, Side Channel Security等为主,研究成果发表于IEEE S&P(Oakland),HOST,DAC等计算机安全会议,2022年以第一作者身份获IEEE S&P(Oakland)杰出论文奖。在此之前,曾任360信息安全部无线安全高级研究员,主攻硬件安全及无线协议漏洞挖掘,期间研究成果曾多次发表于BlackHat,Defcon,HITB,Cansecwest等国际知名安全会议。